INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MÉCANICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA SEMINARIO DE ACTUALIZACIÓN CON OPCIÓN A TITULACIÓN: LAS TECNOLOGÍAS APLICADAS A LAS REDES DE CUMPUTACIÓN FNS 5092005/03/2007 DISEÑO DE UNA RED VIRTUAL QUE COMO PRUEBA ESCRITA DE SU EXAMEN PROFESIONAL PARA OBTENER EL TÍTULO DE: INGENIERO EN COMUNICACIONES Y ELECTRÓNICA PRESENTAN: CÉSAR NICOLÁS CABALLERO LÓPEZ RAUL FLORES SANCHEZ ROBERTO GAYOSSO ESTRADA INGENIERÍA EN SISTEMAS COMPUTACIONALES PRESENTAN: HÉCTOR EMMANUEL BENÍTEZ GURRIÓN BLANCA ESTELA GARCÍA AVILA MÉXICO D.F. DICIEMBRE DEL 2007
Agradecimientos: Este trabajo es la conclusión de una etapa de estudio en mi vida muy importante. A través de estos años existieron personas que me han dado su apoyo, educación y parte de su vida misma para que yo consiguiera concluir mi formación profesional hasta este momento. Mi familia en general, principalmente los más cercanos a mí. Mi papá Eduardo Flores Ortiz, mi mamá Ana Laura Sánchez Zepeda, mi hermana Aracely Flores Sánchez, así como mis abuelos los cuales fueron de igual forma un pilar de lo que soy ahora. Sin ellos no sería yo. Raúl Flores Sánchez. A MIS PADRES: Quiero agradecer profundamente a ustedes padres por él apoyó y confianza brindada durante este reto, que para mí es una parte muy importante de mi vida, haber concluido con mis estudios profesionales, con la educación que ustedes siempre se preocuparon y se ocuparon de que yo tuviera, muchas gracias por que a aun en los momentos difíciles que hemos pasado siempre han estado y estarán compartiendo con migo mis triunfos, mis alegrías y los retos que se me presenten en la vida. Muchas gracias Monce, por que sé que siempre me has apoyado con mis decisiones y también sé que haz creído en mi, pero sobre todo gracias por que era tú mi hermana la mejor hermana que me pudo haber tocado tener en el mundo, son que muy pronto tendremos la dicha de festejar y compartir dentro de la familia esta alegría que hoy me invade con el titulo. Te quiere té hermanito nenoy. Pase lo pase siempre serán mis padres y a dios bendigo por darme unos padres maravillosos como ustedes. Muchas gracias. A MI FAMILIA: Muchas gracias a cada uno de los integrantes de esta maravillosa familia con la que dios me ha bendecido tener, por que con la confianza y buenos deseos de ustedes a sido más fácil seguir adelante en esos momentos de indecisión y difíciles que eh tenido, a lo largo de este reto que ahora se convierten en uno de mis triunfos, gracias ABUELO, GRACIAS TIOS, GRACIAS PRIMAS, y gracias también a mis dos maravillosas abuelas que hoy descansan a lado de nuestro creador, no podría dejar de agradecer también a ustedes. Gracias por todo el cariño y por creer siempre en mí. A MI ESPOSA: Gracias amor por todo el apoyo y la confianza que me has dado, sin tu ayuda tampoco seria posible esto estar terminado un ciclo muy importante en mi vida como lo son mis estudios, muchas gracias por tus animosa, abrazos y una que otra desvelada por estas ahí conmigo, TEAMO con toda mi Almá y mi corazón te amo mi niña hermosa. Héctor Emmanuel Benítez Gurrión I
Le agradezco a Dios sobre todas las cosas porque nunca se aparto de mi y me ayudo a culminar un paso importante en mi vida. Le agradezco a mi madre por su esfuerzo y dedicación, pero sobre todo por su cariño ya que gracias a eso he logrado lo que soy. Le agradezco a mi padre, que aunque ya no este físicamente conmigo, en mi corazón, y en mi mente siempre estará presente, gracias papá por tu fortaleza,la cual me enseño a que se debe luchar por lo que se quiere, gracias por tus consejos y por haberme regalado parte de tu vida. Le agradezco a mis hermanas por su apoyo físico, económico, e intelectual y por haber depositado en mi toda su confianza. Le agradezco a mis maestros por haber compartido sus experiencias y enseñanzas conmigo. Blanca Estela García Ávila A Dios: Le doy gracias a dios por darme la oportunidad de estar en esta vida y haber llegado a esta este punto. A mi Madre: Quiero dar gracias a mi madre, por darme el don de la vida, por cuidarme, por educarme, por haberme ensañado el valor de la vida, por haberme apoyado y comprendido en las buena y malas, POR ESO TE LA DEDICO ESPECIALMENTE PARA TI MADRE. A mi Padre: Quiero darle gracias a mi padre, Hermelindo Roberto Gayosso Juárez, por apoyarme a realizar un sueño que siempre quisiste que tus hijos hicieran, por tus buenas enseñanzas que me servirán para toda la vida, por tus esfuerzos realizados, por tu dedicación y en especial por tu ejemplo que me diste en esta vida para poder salir adelante; TODA MI VIDA TE ESTARE PROFUNDAMENTE AGRADECIDO PADRE. A mi Hermano: Quiero dar gracias a mi hermano, Ing. Erick Gayosso Estrada por haber compartido con el mi niñez y mi adolescencia, pero en especial por haberme dado el ejemplo que se puede realizar las metas que uno se proponga, Gracias Erick. A mi Hermana: Quiero dar gracias a mi hermana, Jennifer Gayosso Estrada, por darme la oportunidad de verte crecer y poderte enseñar todos mis conocimientos. Al Instituto Politécnico Nacional: Por darme esa gran oportunidad de desarrollarme en mi educación y enseñanza A todos ellos mil gracias. Roberto Gayosso Estrada II
Antes que nada quisiera dar gracias a dios por darme la oportunidad de estar realizando la finalización mis estudios profesionales. A MIS PADRE. Rodolfo Caballero Báez, Carmen López Aranda. Gracias por todo su apoyo incondicional para que yo pueda realizar un sueño como es la titulación, a sus esfuerzos por darme todo lo que necesitaba. Las cosas se que no han sido fáciles, y por ese motivo siento un gran aprecio por lo que han hecho, ya que sin su apoyo y el de mis hermanos no lo hubiera podido lograr A MIS HERMANOS Petras, Martina, Juan, Margarita, Adolfo, Mercedes, Eleuterio, Luis y Ricardo, gracias por sus palabras de aliento en los momentos más difíciles cuando todo parecía terminar eran ustedes los que me daban la palmada en la espalda para seguir adelante y lograr este objetivo que lo comparto con mis seres queridos. A MI ESPOSA No podría dejar pasar la oportunidad de dedicarte una palabras a mi apreciable y amada compañera, gracias por haber sido el pilar para hacer esto realidad la realización de una de mis metas de mi vida profesional, TE AMO MI MORENITA. No podría dejar fuera a mis compañeros y amigos, ya que he convivido una gran parte de mi vida al lado de ustedes Ricardo, Oscar. A todos muchas gracias por todo, FAMILIA y amigos, misión cumplida. César Nicolás Caballero López III
ÍNDICE Introducción 1 Capítulo 1 Redes Privadas Virtuales (VPN) 2 1.1. Qué es una VPN? 3 1.2 Concepto de una VPN 4 1.3 Requerimientos Básicos de una VPN 5 1.4 Conexión de Redes sobre Internet 6 1.5 Conexión de Computadoras sobre Intranet 7 1.6 VPN de Acceso Remoto 8 1.7 VPN en una Intranet 8 1.8 VPN en una Extranet 8 1.9 La Arquitectura de las VPN 8 1.10 Seguridad VPN 9 1.10.1 Autorización. 10 1.10.2 Autentificación. 12 1.10.3 IPsec. 14 1.10.4 Características de seguridad IPsec. 17 1.10.5 Ataques a la seguridad. 19 Capítulo 2 Túneles ("Tunneling") 20 2.1 Protocolos de Túneles. 21 2.1.1 Funcionamiento de los túneles 22 2.2 Requerimientos básicos del túnel. 23 2.2.1 Modo del Túnel de Seguridad de Protocolos Para Internet. 27 2.3Tipos de Túneles. 29 2.3.1 Túneles Voluntarios. 29 2.3.2 Túneles Obligatorios. 29 IV
Capítulo 3. Implementación de una Red Privada Virtual 31 3.1. Configuración de Una VPN 32 3.1.1. Diferencia entre una VPN frente al cable propio o rentado. 40 3.2. Implementación de una red privada virtual de Enrutador a enrutador basada en L2TP. 43 3.2.1 Configurar el enrutador de la oficina Corporativa. 44 3.2.2. - Configurar el enrutador de la sucursal. 48 3.3 Implementación de una red privada virtual de enrutador a enrutador basada en PPTP. 51 3.3.1 Configurar el enrutador de la Oficina corporativa. 51 3.3.2. Configurar el enrutador de la sucursal. 56 Índice de Imágenes Fig. 1.1 Enlace VPN 3 Fig. 1.2 Redes LAN 4 Fig. 1.3. Red Privada Virtual 6 Fig. 3.1.a). Asistente de Conexión Nueva 32 Fig. 3.1.b). Tipo de Conexión de Red 33 Fig. 3.1.c). Conexión de Red Privada Virtual 33 Fig. 3.1.d). Nombre de Conexión 34 Fig. 3.1.e). Red Publica 34 Fig. 3.1.f). Selección de Servidor VPN 35 Fig. 3.1.g). Finalización de Asistente de Conexión 35 Fig. 3.1.h). Acceso a Red Privada 36 Fig. 3.1.i). Configuración de l Router. 37 Fig. 3.1.j). Tipo de Red. 38 Fig. 3.1.k). Protección de la red. 38 Fig. 3.2. a) Electos de una conexión VPN 43 Fig. 3.3.a). Conexión VPN basada en PPTP 52 V
Conclusiones: 59 Bibliografía 60 Glosario 61 VI
INTRODUCCIÓN En los últimos años las redes se han convertido en un factor crítico para cualquier organización. Cada vez en mayor medida, las redes transmiten información vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad. Las Redes Virtuales Privadas son una opción más para que las grandes y pequeñas empresas se mantengan a salvo de cualquier intento de ataque en contra de esa información tan valiosa. Asimismo pueden auxiliarse de la amplia tecnología de vanguardia en cuanto a software y hardware se refiere. Las VPN son de gran utilidad para los usuarios, porque les proporciona acceso remoto a recursos corporativos sobre Internet público y mantiene al mismo tiempo la privacidad de su información incluyendo la integridad de los datos al viajar a través de Internet. Además de que les brinda la certeza de que están trabajando en un canal seguro. 1
Capítulo 1.- Redes Privadas Virtuales. En una red privada virtual todos los usuarios parecen estar en el mismo segmento de LAN (Red de Área Local), pero en realidad están a varias redes de distancia. Para lograr esta funcionalidad, la tecnología de redes seguras, privadas y virtuales debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP (protocolo de Internet) a través de un túnel en la red pública, de manera que dos segmentos de LAN remotos no parezcan estar separados por una red pública; la solución debe agregar encriptación, de manera que el tráfico que cruce por la red pública no pueda ser espiado, interceptado, leído o modificado; y por último, la solución debe ser capaz de autenticar positivamente cualquier extremo del enlace de comunicación, de modo que un adversario no pueda acceder a los recursos del sistema. Una definición simple es que se trata de una red de comunicaciones privada implementada sobre una infraestructura pública. Las razones que impulsan al mercado en ese sentido son, fundamentalmente, de costos: es mucho más barato interconectar filiales utilizando una infraestructura pública que despliega una red físicamente privada. Por otro lado, como es lógico, es necesario exigir ciertos criterios de privacidad y seguridad, por lo que normalmente debemos recurrir al uso de la criptografía. Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN (Redes Virtuales Privadas) logran esto al permitir que el usuario haga un túnel a través de Internet u otra red pública, de manera que permita a los participantes del túnel disfrutar de la misma seguridad y funciones que antes sólo estaban disponibles en las redes privadas. 2
Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse en una forma segura a un servidor corporativo remoto, mediante la infraestructura de entubamiento que proporciona una red pública. Desde la perspectiva del usuario la VPN es una conexión de punto a punto entre la computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red intermedia es irrelevante para el usuario, debido a que aparece enviando como si los datos se estuvieran enviando sobre un enlace privado dedicado. La tecnología de la VPN está diseñada para tratar temas relacionados con la tendencia actual de negocios hacia mayores telecomunicaciones, operaciones globales ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde los trabajadores deben conectarse a recursos centrales y entre sí. 1.1. Qué es una VPN? La VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet, que permite conectar dos o más sucursales de una empresa permitiendo a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet. Figura 1.1. Figura 1.1 Enlace VPN 3
Para hacerlo posible de manera segura es necesario proveer los siguientes medios: la autenticación, integridad y confidencialidad de toda la comunicación: Autenticación y autorización: Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener. Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza un método de comparación. Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de interceptación, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. 1.2 Concepto de una VPN. Una red de área local esta definida como una red de computadoras dentro de un área geográficamente acotada como puede ser una empresa o una corporación. Uno de los problemas que nos encontramos es el de no poder tener una confidencialidad entre usuarios de la LAN como pueden ser los directivos de la misma, también estando todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la misma no era aprovechado correctamente. La solución a este problema era la división de la LAN en segmentos físicos los cuales fueran independientes entre si, dando como desventaja la imposibilidad de comunicación entre las LANs para algunos de los usuarios de la misma. Figura 1.2. Figura 1.2 Redes LAN 4
1.3 Requerimientos Básicos de una VPN. Autenticación de usuario. La solución deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y contables para mostrar quién accedió a qué información y cuándo. Administración de dirección. La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así. Encriptación de datos. Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red. Los tipos de encriptación que se utilizan actualmente son el DES y el 3DES. Administración de Llaves. encriptación para el cliente y para el servidor. La solución deberá generar y renovar las llaves de Soporte de protocolo múltiple. La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen Protocolo de Internet. Una solución de VPN de Internet basada en un PPTP (Protocolo de túnel de punto a punto) ó un L2TP (Protocolo de túnel de nivel 2), cumple con todos estos requerimientos básicos, y aprovecha la amplia disponibilidad de Internet a nivel mundial. Este tipo de comunicaciones presentan múltiples ventajas y beneficios para los usuarios: Bajo costo. Reduce el costo del servicio de comunicación o del ancho de banda de transporte, y también el de la infraestructura y operación de las comunicaciones. Flexibilidad. Se puede optar por múltiples tecnologías o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso más adecuado. 5
Implementación rápida. El tiempo de implementación de un backbone de WAN (Red de Área Amplia) para una empresa es muy alto frente a la implementación de una red privada virtual sobre un backbone ya existente de un proveedor de servicio. Más aún, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy rápida, que concuerdan con los tiempos del negocio de la empresa. Escalabilidad. El desarrollo masivo de redes como Internet permite que la empresa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnología de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario. 1.4 Conexión de las redes sobre Internet. Existen dos métodos para utilizar VPN a fin de conectar redes de área local a sitios remotos: Uso de líneas dedicadas para conectar una sucursal a una LAN corporativa. El software VPN utiliza las conexiones ISP (Proveedor de Servicios de Internet) locales y el Internet público, con el propósito de crear una red privada virtual entre el ruteador de la sucursal Y el del hub corporativo. Figura 1.3. Figura 1.3 Red Privada Virtual 6
Uso de una línea de marcación para conectar una sucursal a una LAN corporativa. El ruteador en la sucursal realice una llamada de larga distancia a un NAS (Servidores de almacenamiento a la red) corporativo o externo, el ruteador en la sucursal puede llamar al ISP local. El software VPN utiliza la conexión al ISP local para crear una red privada virtual entre el ruteador de la sucursal y el del hub corporativo, a través de Internet. Note que en ambos casos las facilidades que conectan la sucursal y la oficina corporativa a Internet son locales; se recomienda que el ruteador del hub corporativo que actúa como un servidor VPN se conecte a un ISP local con una línea dedicada. Este servidor VPN puede estar listo 24 horas al día para tráfico VPN entrante. 1.5 Conexión de computadoras sobre una Intranet. En algunas redes corporativas los datos departamentales son tan sensibles, que la LAN está físicamente desconectada del resto de la Intranet corporativa. Aunque esto protege la información confidencial del departamento, crea problemas de acceso a la información para otros usuarios que no están conectados en forma física a la LAN separada. Las VPN permiten que la LAN del departamento esté físicamente conectada a la Intranet corporativa, pero separada por un servidor. El servidor VPN no está actuando como un ruteador entre la Intranet corporativa y la LAN del departamento. Un ruteador interconectaría las dos redes, lo que permitiría que todos tuvieran acceso a la LAN. Pero al utilizar una VPN el administrador de sólo los la red puede asegurar que solo los usuarios en la Intranet corporativa, que tienen el nivel adecuado, pueden establecer una VPN con el servidor VPN y tener acceso a los recursos protegidos del departamento. 7
1.6 VPN de acceso remoto. Consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura 'dial-up' (módems y líneas telefónicas). 1.7 VPN de Intranet. Vincula la oficina remota o sucursal a la red corporativa, a través de una red pública, mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre otras. 1.8 VPN de Extranet. Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de interés a la Intranet corporativa a través de una red pública. 1.9 La arquitectura de las VPN. La arquitectura de las VPN se debe basar en elementos esenciales de la tecnología para proteger la privacidad, mantener la calidad y confiabilidad, y asegurar la operación de la red en toda la empresa. Estos elementos son: Seguridad: uso de túneles, encriptación de datos, autenticación de usuarios y paquetes, control de acceso. Calidad de Servicio: uso de colas, manejo de congestión de red, priorización de tráfico, clasificación de paquetes. Gestión: implementación y mantenimiento de las políticas de seguridad y calidad de servicio a lo largo de la VPN. 8
1.10. Seguridad en la VPN. Un punto fundamental es el particionamiento de las redes públicas o de uso compartido para implementar las VPN que son disjuntas. Esto se logra mediante el uso de túneles que no son ni más ni menos que técnicas de encapsulado del tráfico. Las técnicas que se utilizan son: GRE (Enrutamiento Encapsulado Genérico), que permite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otro protocolo, típicamente IP; L2TP que permite el armado de túneles para las sesiones PPP (Protocolo Punto a Punto) remotas, y por último IPsec (Protocolo de Seguridad de Internet) para la generación de túneles con autenticación y encriptado de datos. La calidad de servicio permite la asignación eficiente de los recursos de la red pública a las distintas VPN para que obtengan una performance predecible. A su vez, las VPN asignarán distintas políticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentes tecnológicas básicas son: Clasificación de Paquetes: Asignación de prioridades a los paquetes basados en la política corporativa. Committed Access Rate (CAR, Tasa de Acceso Entregada): Garantiza un ancho de banda mínimo para aplicaciones o usuarios basándose en la política corporativa. Weighted Fair Queuing (WFQ, Colas Equitativas Ponderadas): Determina la velocidad de salida de los paquetes en base a la prioridad asignada a éstos, mediante el encolado de los paquetes. Weighted Random Early Detection (WRED): Complementa las funciones de TCP (Protocolo de Control de Transmisión) en la prevención y manejo de la congestión de la red, mediante el descarte de paquetes de baja prioridad. Generic Traffic Shaping (GTS): Reduce la velocidad de salida de los paquetes con el fin de reducir posibles congestiones de la red que tengan como consecuencia el descarte de paquetes. 9
1.10.1 Autorización. Sólo se aceptan conexiones de red privada virtual (VPN) de los usuarios y enrutadores que tengan autorización. En la familia Windows Server 2003, la autorización de las conexiones VPN se determina mediante las propiedades de marcado en las directivas de la cuenta del usuario y de acceso remoto. Cómo funciona la seguridad en la conexión. En los pasos siguientes se describe qué ocurre durante el intento de conexión de un cliente VPN basado en el Protocolo de túnel punto a punto (PPTP) con un servidor VPN basado en PPTP que ejecuta Windows Server 2003: 1.- El cliente VPN crea un túnel PPTP con el servidor VPN. 2.- El servidor envía un desafío al cliente. 3.- El cliente envía una respuesta cifrada al servidor. 4.- El servidor contrasta la respuesta con la base de datos de cuentas de usuarios. 5.- Si la cuenta es válida y se autoriza la conexión, el servidor acepta la conexión de acuerdo con las directivas de acceso remoto y las propiedades de la cuenta de usuario del cliente VPN. En los pasos del 2 al 4 se supone que el cliente VPN y el servidor VPN utilizan los protocolos de autenticación MS-CHAP o CHAP. El envío de las credenciales del cliente puede variar en otros protocolos de autenticación. En los pasos siguientes se describe qué ocurre durante el intento de conexión de un cliente VPN basado en el Protocolo de túnel de capa 2 a través de seguridad de Protocolo Internet (L2TP/IPsec) con un servidor VPN basado en L2TP/IPsec que ejecuta Windows Server 2003: 10
1.- La asociación de seguridad IPsec se crea mediante certificados de equipo y el proceso de negociación de Intercambio de claves de Internet (IKE). 2.- El cliente VPN crea un túnel L2TP con el servidor VPN. 3.- El servidor envía un desafío al cliente. 4.- El cliente envía una respuesta cifrada al servidor. 5.- l servidor contrasta la respuesta con la base de datos de cuentas de usuarios. 6.- Si la cuenta es válida y se autoriza la conexión, el servidor acepta la conexión de acuerdo con las directivas de acceso remoto y las propiedades de la cuenta de usuario del cliente VPN. En los pasos del 3 al 5 se supone que el cliente VPN y el servidor VPN utilizan los protocolos de autenticación MS-CHAP v1 o CHAP. El envío de las credenciales del cliente puede variar en otros protocolos de autenticación. Seguridad una vez realizada la conexión. Después de pasar la autorización y la autenticación, y tras conectar a la LAN, los clientes VPN de conexiones VPN de acceso remoto sólo pueden tener acceso a los recursos de la red para los que tengan permisos. Los clientes VPN de acceso remoto están sujetos a la seguridad de los sistemas operativos Windows Server 2003, tal como si estuvieran en la oficina. Es decir, los clientes VPN de acceso remoto no pueden hacer nada para lo que no tengan los derechos suficientes ni pueden tener acceso a los recursos para los que no tienen permisos. El servidor VPN debe autenticar a los clientes VPN de acceso remoto para que éstos puedan tener acceso a la re o generar tráfico en ella. Esta autenticación es un paso diferente del inicio de sesión en un dominio de Windows Server 2003. 11
Para restringir el acceso para las conexiones VPN de acceso remoto en cuanto al tráfico IP se utilizan filtros de paquetes basados en un perfil de directiva de acceso remoto. Mediante los filtros de paquetes de perfiles, puede establecer las transmisiones IP que se permitirán fuera de la conexión (filtros de salida) o hacia la conexión (filtros de entrada) sobre la base de un conjunto de excepciones: todas las transmisiones excepto aquéllas especificadas por los filtros, o ninguna transmisión excepto aquéllas especificadas por los filtros. El filtrado de perfiles de la directiva de acceso remoto se aplica a todas las conexiones de acceso remoto que cumplen la directiva de acceso remoto. 1.10.2 Autenticación. La autenticación de clientes de redes privadas virtuales (VPN) por el servidor VPN es un aspecto vital de la seguridad. La autenticación tiene lugar en dos niveles: 1.- Autenticación en el nivel de equipo. Cuando se utiliza la seguridad del protocolo Internet (IPsec) en una conexión VPN de Protocolo de túnel de capa 2 (L2TP) a través de IPsec (L2TP/IPsec), la autenticación de nivel de equipo se realiza mediante el intercambio de certificados de equipo o una clave previamente compartida durante el establecimiento de la asociación de seguridad IPsec. 2.- Autenticación en el nivel de usuario. Para enviar datos a través del túnel de Protocolo de túnel punto a punto (PPTP) o L2TP, se debe autenticar el cliente de acceso remoto o el enrutador de marcado a petición que solicita la conexión VPN. La autenticación de nivel de usuario se produce a través de un método de autenticación de Protocolo punto a punto (PPP). Cifrado de datos entre cliente y servidor VPN. Cifrado de datos. Debe utilizar el cifrado de datos para proporcionar confidencialidad a los datos enviados entre el cliente VPN y el servidor VPN a través de la red compartida o pública, donde siempre existe el riesgo de que un usuario no autorizado intercepte los datos. 12
Puede configurar el servidor VPN para que exija comunicaciones cifradas. Los usuarios que se conectan a ese servidor deben cifrar sus datos; en caso contrario, no se permitirá la conexión. En las conexiones VPN, la familia Windows Server 2003 utiliza el Cifrado punto a punto de Microsoft (MPPE) con el Protocolo de túnel punto a punto (PPTP) y el cifrado de seguridad de Protocolo Internet (IPsec) con el Protocolo de túnel de capa 2 (L2TP). Dado que el cifrado de datos se realiza entre el cliente VPN y el servidor VPN, no es necesario en el vínculo de comunicaciones establecido entre un cliente de acceso telefónico y su proveedor de servicios Internet (ISP). Por ejemplo, un usuario móvil utiliza una conexión de acceso telefónico para conectarse con un ISP local. Una vez realizada la conexión a Internet, el usuario crea una conexión VPN con el servidor VPN corporativo. Si la conexión VPN está cifrada, no es necesario cifrar la conexión de acceso telefónico entre el usuario y el ISP. Usar filtrado de paquetes. Filtrado de paquetes. Para proteger el servidor VPN del envío o recepción de todas las transmisiones excepto las transmisiones VPN en la interfaz de Internet, es necesario configurar filtros de entrada y salida para PPTP o L2TP/IPsec en la interfaz que corresponde a la conexión a Internet. En las conexiones VPN de enrutador a enrutador debe configurar también filtros de paquetes PPTP o L2TP/IPsec en el enrutador de llamada (el cliente VPN); este paso se lleva a cabo automáticamente si se configura el servidor de acceso remoto mediante el Asistente para la instalación del servidor de enrutamiento y acceso remoto. Puesto que el enrutamiento IP está habilitado de forma predeterminada en las interfaces de la intranet y en la interfaz que corresponde a la conexión a Internet, el equipo que ejecuta un sistema operativo Windows Server 2003 reenvía los paquetes IP entre Internet y la intranet. Así se proporciona una conexión directa enrutada entre la intranet y los posibles intrusos de Internet. Para proteger la intranet de forma que sólo se reenvíen a ella las transmisiones enviadas y recibidas a través de conexiones VPN seguras, se deben configurar filtros PPTP o L2TP/IPsec en la interfaz de Internet. 13
Si tiene un servidor de seguridad, debe configurar en él filtros de paquetes para permitir el tráfico entre el enrutador VPN y los enrutadores de Internet. 1.10.3 IPsec: Protocolo de Seguridad de Internet. Actualmente algunos de los mecanismos de seguridad más utilizados en Internet realizan control de acceso basado en direcciones IP, usuario y contraseña, así como certificados SSL, entre otros. Todos estos métodos, al sustentarse en las capas superiores del modelo OSI (Interconexión de sistemas abiertos), no garantizan la seguridad de los paquetes IP que circulan por las redes, tan solo aseguran la comunicación entre aplicaciones siempre y cuando esta no haya sido comprometida a nivel de red. En las redes actuales proliferan ataques muy variados, desde un simple reemplazo de dirección IP para suplantar identidad hasta la captura y análisis de paquetes para acceder a usuarios, contraseñas y otras informaciones ilícitamente obtenidas. En este sentido IPsec constituye una profundización de las medidas de seguridad de una red IP. Conceptos Generales de IPsec IPsec provee servicios de seguridad en la capa de red al establecer un sistema para seleccionar los protocolos de seguridad requeridos, determinar el algoritmo a usar por cada servicio y aplicar cualquier llave criptográfica requerida por un servicio determinado. Los servicios disponibles por IPsec incluyen control de acceso, autenticación de origen de datos, detección y rechazo de paquetes reenviados protegiendo de esta forma la integridad y confidencialidad (mediante encriptación). El hecho de que estos servicios sean ofrecidos por la capa IP hace posible que puedan ser usados por cualquier protocolo de capa superior a IP como TCP, UDP (protocolo de datagrama de usuario), ICMP (protocolo Internet de control de mensajes) o BGP IPsec se usa para proteger las comunicaciones por uno o más caminos entre un par de Host, un par de compuertas de seguridad o entre una compuerta de seguridad y un Host. 14
La protección ofrecida por IPsec está basada en los requerimientos definidos por una SPD, (Base de Datos de Políticas de Seguridad) establecida y mantenida por un usuario o administrador del sistema, o por una aplicación. Los paquetes son cotejados contra entradas en la SPD y les son aplicadas una de tres posibles acciones. Cada paquete es protegido utilizando los servicios de seguridad de IPsec. Las redes se diseñan normalmente para impedir el acceso no autorizado a datos confidenciales desde fuera de la intranet de la empresa mediante el cifrado de la información que viaja a través de líneas de comunicación públicas. Sin embargo, la mayor parte de las redes manejan las comunicaciones entre los Host de la red interna como texto sin formato. Con acceso físico a la red y un analizador de protocolos, un usuario no autorizado puede obtener fácilmente datos privados. IPsec autentifica los equipos y cifra los datos para su transmisión entre Host en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPsec es proporcionar protección a los paquetes IP. IPsec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos Host que tienen que conocer la protección de IPsec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. IPsec aumenta la seguridad de los datos de la red mediante: La autenticación mutua de los equipos antes del intercambio de datos. IPsec puede utilizar Kerberos V5 para la autenticación de los usuarios. El establecimiento de una asociación de seguridad entre los dos equipos. IPsec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de área local (LAN). 15
El cifrado de los datos intercambiados mediante Cifrado de datos estándar (DES), triple DES (3DES) o DES de 40 bits. IPsec usa formatos de paquete IP estándar en la autenticación o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPsec de los paquetes IP normales. El protocolo también proporciona las ventajas siguientes: Compatibilidad con la infraestructura de claves públicas. También acepta el uso de certificados de claves públicas para la autenticación, con el fin de permitir relaciones de confianza y proteger la comunicación con Host que no pertenezcan a un dominio Windows 2000 en el que se confía. Compatibilidad con claves compartidas. Si la autenticación mediante Kerberos V5 o certificados de claves públicas no es posible, se puede configurar una clave compartida (una contraseña secreta compartida) para proporcionar autenticación y confianza entre equipos. Transparencia de IPsec para los usuarios y las aplicaciones. Como IPsec opera al nivel de red, los usuarios y las aplicaciones no interactúan con IPsec. Administración centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesión en el dominio, el equipo recibe automáticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local. Estándar abierto del sector. IPsec proporciona una alternativa de estándar industrial abierto ante las tecnologías de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante. 16
1.10.4 Características de Seguridad IPsec. Las siguientes características de IPsec afrontan todos estos métodos de ataque: Protocolo Carga de seguridad de encapsulación (ESP). Proporciona privacidad a los datos mediante el cifrado de los paquetes IP. Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPsec. Administración automática de claves. Las claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPsec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican. Negociación de seguridad automática. IPsec usa ISAKMP para negociar de forma dinámica un conjunto de requisitos de seguridad mutuos entre los equipos que se comunican. No es necesario que los equipos tengan directivas idénticas, sólo una directiva configurada con las opciones de negociación necesarias para establecer un conjunto de requisitos con otro equipo. Seguridad a nivel de red. IPsec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones. 17
Autenticación mutua. IPsec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPsec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información. Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos. 18
1.10.5 Ataques a la Seguridad. A continuación se presenta una lista parcial de los ataques a las redes más comunes: Rastreo. Un rastreador de red es una aplicación o un dispositivo que puede supervisar y leer los paquetes de la red. Si los paquetes no están cifrados, un rastreador de red obtiene una vista completa de los datos del paquete. El Monitor de red de Microsoft es un ejemplo de rastreador de red. Modificación de datos. Un atacante podría modificar un mensaje en tránsito y enviar datos falsos, que podrían impedir al destinatario recibir la información correcta o permitir al atacante conseguir la información protegida. Contraseñas. El atacante podría usar una contraseña o clave robadas, o intentar averiguar la contraseña si es fácil. Suplantación de direcciones. El atacante usa programas especiales para construir paquetes IP que parecen provenir de direcciones válidas de la red de confianza. Nivel de aplicación. Este ataque va dirigido a servidores de aplicaciones al explotar las debilidades del sistema operativo y de las aplicaciones del servidor. Intermediario. En este tipo de ataque, alguien entre los dos equipos comunicantes está supervisando activamente, capturando y controlando los datos de forma desapercibida (por ejemplo, el atacante puede estar cambiando el encaminamiento de un intercambio de datos). Denegación de servicio. El objetivo de este ataque es impedir el uso normal de equipos o recursos de la red. Por ejemplo, cuando las cuentas de correo electrónico se ven desbordadas con mensajes no solicitados. 19
Capítulo 2 Túneles ("Tunneling") Trabajar en un sistema de túnel es un método de utilizar una infraestructura de la red para transferir datos de una red sobre otra; los datos que serán transferidos pueden ser las tramas de otro protocolo. En lugar de enviar una trama a medida que es producida por el nodo promotor, el protocolo de túnel la encapsula en un encabezado adicional. Éste proporciona información de entubamiento de manera que la carga útil encapsulada pueda viajar a través de la red intermedia. De esta manera, se pueden encaminar los paquetes encapsulados entre los puntos finales del túnel sobre la red, la trayectoria lógica a través de la que viajan los paquetes encapsulados en la red se denomina túnel. Cuando las tramas encapsuladas llegan a su destino sobre la red se desencapsulan y se envían a su destino final. Existen muchos otros ejemplos de túneles que pueden realizarse sobre Intranets corporativas. Y aunque la Red de redes proporciona una de las intranets más penetrantes y económicas, las referencias a Internet en este artículo se pueden reemplazar por cualquier otra Intranet pública o privada que actúe como de tránsito. Las tecnologías de túnel existen desde hace tiempo. 20
Algunos ejemplos de tecnologías maduras incluyen: EL ruteador IP a IPX (Intercambio de Paquetes entre Redes) de destino encabezado UPD e IP, el paquete al destino se ha introducido en los últimos años nuevas tecnologías de sistemas de túneles, mismas que son el enfoque principal de este artículo. Incluyen: Protocolo de túnel de punto a punto (PPTP). Permite que se encripte el tráfico IP, IPX o NetBEUI, y luego se encapsule en un encabezado IP para enviarse a través de una red corporativa IP o una red pública IP, como Internet. Protocolo de túnel de nivel 2 (L2TP). Permite que se encripte el tráfico IP, IPX o NetBEUI, y luego se envíe sobre cualquier medio que dé soporte a la entrega de datagramas punto a punto. Modo de túnel de seguridad IP (IPSec). Deja que se encripten las cargas útiles IP y luego se encapsulen en un encabezado IP, para enviarse a través de una red corporativa IP o una red pública IP como Internet. 2.1 Protocolos de Túneles. Para que se establezca un túnel, tanto el cliente de éste como el servidor deberán utilizar el mismo protocolo de túnel. La tecnología de túnel se puede basar en el protocolo del túnel de Nivel 2 o e Nivel 3; estos niveles corresponden al Modelo de referencia OSI (Interconexión de sistemas abiertos). Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas como su unidad de intercambio. PPTP y L2TP y el envío de nivel 2 (L2F) son protocolos de túnel de Nivel 2, ambos encapsulan la carga útil en una trama de Protocolo de punto a punto (PPP) que se enviará a través de la red. 21
Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre IP y el modo de túnel de seguridad IP (IPSec) son ejemplos de los protocolos de túnel de Nivel 3; éstos encapsulan los paquetes IP en un encabezado adicional antes de enviarlos a través de una red IP. 2.1.1. Funcionamiento de los túneles. Para las tecnologías de túnel de Nivel 2 como PPTP y L2TP, un túnel es similar a una sesión; los dos puntos finales deben estar de acuerdo respecto al túnel, y negociar las variables de la configuración, como asignación de dirección o los parámetros de encriptación o de compresión. En la mayor parte de los casos, los datos que se transfieren a través del túnel se envían utilizando protocolos basados en datagramas; se utiliza un protocolo para mantenimiento del túnel como el mecanismo para administrar al mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado fuera de banda todos los temas relacionados con la configuración, normalmente a través de procesos manuales; sin embargo, quizá no exista una fase de mantenimiento de túnel. Para los protocolos de Nivel 2 (PPTP y L2TP) se debe crear, mantener y luego concluir un túnel. Cuando se establece el túnel, es Posible enviar los datos a través del mismo. El cliente o el servidor utilizan un protocolo de transferencia de datos del túnel a fin de preparar los datos para su transferencia. Por ejemplo, cuando el cliente del túnel envía una carga útil al servidor, primero adjunta un encabezado de protocolo de transferencia de datos de túnel a la carga útil. Luego, el cliente envía la carga útil encapsulada resultante a través de la red, la que lo en ruta al servidor del túnel. Este último acepta los paquetes, elimina el encabezado del protocolo de transferencia de datos del túnel y envía la carga útil a la red objetivo. 22
La información que se envía entre el servidor del túnel y el cliente del túnel se comporta de manera similar. 2.2 Requerimientos Básicos del Túnel. Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP v L2TP) heredan un conjunto de funciones útiles. Como se señala adelante, estas funciones y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la VPN Autenticación de usuario. Los protocolos de túnel Nivel 2 hereda los esquemas de autenticación del usuario de PPP. Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una excepción es la negociación IPSec ISAKMP que proporciona una autenticación mutua de los puntos Finales del túnel. Soporte de tarjeta de señales. Al utilizar EAP (Protocolo de Autenticación Extensible), los protocolos de túnel Nivel 2 pueden ofrecer soporte a una amplia variedad de métodos de autenticación, incluidas contraseñas de una sola vez, calculadores criptográficos y tarjetas inteligentes. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define la Autenticación de los certificados de llaves públicas. Asignación de dirección dinámica. El túnel de Nivel 2 da soporte a la asignación dinámica de direcciones de clientes basadas en un mecanismo de negociación de protocolos de control de la red en general los esquemas del túnel de nivel 3 suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Cabe mencionar que los esquemas para la asignación de direcciones en el modo de túnel IPSec están actualmente en desarrollo, por lo que aún no están disponibles. 23
Protocolos de Punto a Punto. Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones especificadas para PPP (punto a punto), vale la pena examinar este protocolo más de cerca. PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto. Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP, cada una de las cuales debe completarse de manera exitosa antes de que la conexión del PPP esté lista para transferir los datos del usuario. Estas fases se explican posteriormente. FASE 1: Establecer el enlace de PPP. PPP utiliza LCP (Protocolo de Control de Enlace) para establecer, mantener y concluir la conexión física. Durante la fase LCP inicial, se seleccionan las opciones básicas de comunicación. Nótese que durante la fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de Autenticación, peto no se implementan efectivamente hasta la fase de Autenticación de conexión (Fase 2). De manera similar, durante el LCP se toma una decisión respecto a que si dos iguales negociarán el uso de compresión y/o encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de compresión/encriptación y los otros detalles. 24
FASE 2: Autentificar al usuario. En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de acceso remoto. Por su parte, un esquema seguro de Autenticación proporciona protección contra ataques de reproducción y personificación de clientes remotos. Un ataque de reproducción ocurre cuando un tercero monitoriza una conexión exitosa y utiliza paquetes capturados para reproducir la respuesta del cliente remoto, de manera que pueda lograr una conexión autenticada. La personificación del cliente remoto ocurre cuando un tercero se apropia de una conexión autenticada. La gran parte de la implementaciones del PPP proporcionan métodos limitado, de Autenticación, típicamente el Protocolo de Autenticación de Contraseña (PAP), el (CHAP) Challenge Handshake Authentication Protocol (Protocolo de Autentificación por Desafió Mutuo). Protocolo de autenticación de contraseña (PAP). El PAP es un esquema simple y claro de autenticación de texto: el NAS solicita al usuario el nombre y la contraseña y el PAP le contesta el texto claro. Protocolo de Autentificación por Desafió Mutuo (CHAP). El CHAP es un mecanismo encriptado que evita la transmisión de contraseñas reales en la conexión. El NAS envía un Challenge, que consiste de una identificación de sesión y una extensión arbitraria al cliente remoto. El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de texto transparente sobre el enlace. En su lugar, se utiliza la contraseña a fin de crear una verificación encriptada del challenge original. El servidor conoce la contraseña del texto transparente del cliente. Y, por tanto, puede duplicar la operación y comparar el resultado con la contraseña enviada en la respuesta del cliente. 25
El CHAP protege contra ataques de reproducción al utilizar una extensión challenge arbitraria para cada intento de autenticación. Asimismo, protege contra la personificación de un cliente remoto al enviar de manera impredecible challenges repetidos al cliente remoto, a todo lo largo de la duración de la conexión. Microsoft Challenge Handshake Aut 1 identicatíon Protocol (MSCHAP). Es un mecanismo de autenticación encriptado muy similar al CHAP. Al igual que en este último, el NAS envía un challenge, que consiste en una identificación de sesión y una extensión challenge arbitraria, al cliente remoto. Este diseño, que manipula una verificación del MD4 de la contraseña, proporciona un nivel adicional de seguridad, debido a que permite que el servidor almacene las contraseñas verificadas en lugar de contraseñas con texto transparente. MSCHAP también proporciona códigos adicionales de error, incluido un código de Contraseña ya expirado, así como mensajes adicionales cliente-servidor encriptado que permite a los usuarios cambiar sus contraseñas. En la implementación de Microsoft del MSCHAP, tanto el Cliente como el NAS, de manera independiente, una llave inicial para encriptaciones posteriores de datos por el MPPE. FASE 3: Control de Interacción del PPP. La implementación de Microsoft del PPP incluye una Fase opcional de control de interacción. Esta fase utiliza el protocolo de control de iteración (CBCP) inmediatamente después de la fase de autenticación. Si se configura para interacción, después de la autenticación, le desconectan tanto el cliente remoto como el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el número telefónico especificado, lo que proporciona un nivel adicional de seguridad a las redes de marcación. El NAS permitirá conexiones partir de los clientes remotos que físicamente residan sólo en números telefónicos específicos. 26
FASE 4: Invocar los protocolos a nivel de red. Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red (NCP), que se seleccionaron durante la fase de establecimiento de enlace (fase 1) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control de IP puede asignar una dirección dinámica a un usuario de marcación. Fase de transferencia de datos Una vez que hayan concluido las cuatro fases de negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada paquete de datos transmitidos se envuelve en un encabezado del PPP, que elimina el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4, los datos se comprimirán antes de la transmisión. Pero si se seleccionó y se negoció de manera similar la encriptación de datos, éstos (comprimidos opcionalmente) se encriptarán antes de la transmisión. 2.2.1 Modo del Túnel de Seguridad de Protocolos para Internet. El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida de información a través de una red IR En su conjunto se describe con mayor detalle en la sección de Seguridad avanzada. Un túnel IPSec consiste en un cliente de túnel v un servidor de túnel, ambos configurados para utilizar los túneles IPSec y un mecanismo negociado de encriptación. El modo del túnel del IPSec utiliza el método de seguridad negociada para encapsular y encriptar todos los paquetes IP, para una transferencia segura a través de una red privada o pública IP. Así, se vuelven a encapsular la carga útil encriptada con un encabeza do IP de texto y se envía en la red para su entrega a un servidor de túnel. Al recibir este datagrama, el servidor del túnel procesa y descarta el encabezado IP de texto y luego desencripta su contenido, a fin de recuperar el paquete original IP de carga útil. 27
El modo de túnel IP tiene las siguientes funciones y limitaciones: Solo da soporte a tráfico IP Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de niveles más altos hereda su comportamiento. Está controlado por una Política de seguridad. Esta política de seguridad establece los mecanismos de encriptación y de túnel disponible en orden de preferencia, así como los métodos de autenticación disponibles, también en orden de preferencia, tan pronto como existe tráfico, ambos equipos realizan una autenticación mutua, y luego negocian los métodos de encriptación que se utilizarán. Reenvió de nivel 2 (l2f). Una tecnología propuesta por cisco, es un protocolo de transmisión que permite que los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP, y lo transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor L2F envuelve los paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no tiene un cliente definido. Protocolo de túnel de nivel 2 (l2tp). Es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP represente las mejores funciones del PPTP y L2E, L2TP es un protocolo de red cápsula las tramas del PPP que viajan sobre redes IP. Cuando está configurado para utilizar al IP como su transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre Internet. También se Puede utilizar directamente sobre varios medios WAN, sin nivel de transporte IP. El L2TP sobre las redes IP utiliza UDP (Protocolos de datagramas de Usuario) y una serie de mensajes para el mantenimiento de túnel. Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el túnel; se pueden encriptar y /o comprimir las cargas útiles de las tramas PPP encapsuladas. 28
2.3 Tipos de Túnel. 2.3.1 Túneles Voluntarios. Una computadora de usuario o de cliente puede emitir una solicitud VPN para configurar y crear un túnel voluntario. En este caso, la computadora del usuario es un punto terminal del túnel y actúa como un cliente de éste. Un túnel voluntario ocurre cuando, una estación de trabajo o un servidor de entubamiento utilizan el software del cliente del túnel, a fin de crear una conexión virtual al servidor del túnel objetivo; para lograr esto se debe instalar el protocolo apropiado de túnel en la computadora cliente. Para los protocolos que se analizan en este artículo, los túneles voluntarios requieren una conexión IP. En determinadas situaciones, el cliente debe establecer una conexión de marcación con el objeto de conectarse a la red antes de que el cliente pueda establecer un túnel (éste es el caso más común). 2.3.2 Túneles Obligatorios. Un servidor de acceso de marcación capaz de soportar una VPN configura y crea un túnel obligatorio. Con uno de éstos, la computadora del usuario deja de ser un punto terminal del túnel. Otro dispositivo, el servidor de acceso remoto, entre la computadora del usuario y el servidor del túnel, es el punto terminal del túnel y actúa como el cliente del mismo. Un buen ejemplo es el usuario de Internet por marcación, que debe marcar a un ISP y obtener una conexión a Internet antes de que se pueda crear un túnel sobre Internet. En los túneles obligatorios, la computadora cliente realiza una conexión única PPP, y cuando un cliente marca en el NAS se crea un túnel y todo el tráfico se en ruta de manera automática a través de éste. Es posible configurar un FEP para hacer un túnel a todos los clientes de marcación hacia un servidor específico del túnel. 29
De manera alterna, el FEP podría hacer túneles individuales de los clientes basados en el nombre o destino del usuario. A diferencia de los túneles por separado creados para cada cliente voluntario, un túnel entre el FEP y servidor puede estar compartido entre varios clientes de marcación. Cuando un segundo cliente marca al servidor de acceso (FEP) a fin de alcanzar un destino no hay necesidad de crear una nueva instancia del túnel entre el FEP y el servidor del túnel. Las VPN proveen hoy ahorros de un 50 % a un 75 % en los costos de comunicaciones, y permiten mantener la arquitectura de las redes flexible para adaptarse a los nuevos mecanismos de negocio de las empresas. 30
Capítulo 3. Implementación de una red privada virtual. Con lo expresado en los capítulos anteriores podemos iniciar la creación de una VPN de forma práctica. Considerando las facilidades que nos dan los equipos actuales la creación de una red entre varias oficinas y/o integrar equipos externos de forma segura a nuestra red LAN atreves de Internet es muy fácil, todo esto sin dejar atrás la necesidad obvia de conocer los aspectos teóricos de los capítulos anteriores. De inicio es necesario saber qué tipo de gateway se tendrá en nuestra red para hacer posible la conexión a Internet. Actualmente las comunicaciones más comunes incluyen módems-routers que proporcionan generalmente los proveedores de Internet, sin embargo es viable la contratación de proveedores que brinden la conexión a Internet con equipos propios. Esto es importante ya que en la mayoría de los equipos modem-router que proporcionan los proveedores de Internet no vienen incluidas las opciones necesarias para una buena seguridad empresarial y mucho menos tienen aplicaciones VPN. Con esto también es necesario planear que tipo de servidor usaremos para la VPN y como habrá que diseñar o rediseñar nuestra red para evitar usuarios no deseados. Existen servidores VPN por software y servidores incluidos en equipos de hardware que, el caso de los routers VPN. El software para servidores VPN puede ser encontrado en varias distribuciones Linux para servidor y en Windows Server 2000 R y Windows Server 2003 R, sin embargo existe software de administración de red que incluye las opciones necesarias para la configuración de una VPN como servidor. 31
3.1. Configuración de una VPN. Para configurar que Windows Server 2000 R funcione como administrador de una VPN existen tutoriales muy completos en Internet de los cuales anexamos la siguiente dirección para su consulta. http://support.microsoft.com/kb/308208/es Así como para hacerlo con un Windows Server 2003 R existe la siguiente página. http://support.microsoft.com/kb/323441/es La mayor parte de las distribuciones de Linux incluyen el software necesario para ingresar como usuario a una VPN, Windows XP R también ofrece dentro de sus opciones para la configuración de conexiones de red la aplicación usuario de VPN y hay software administrador que incluye la instalación para usuarios, la cual contiene la aplicación de acceso a VPN. Para configurar un cliente VPN en Windows XP R es necesario seguir los siguientes pasos: Paso 1. Desde Inicio -> Configuración -> Panel de Control -> Conexiones de Red ejecutar el Asistente para crear una conexión nueva (Crear una conexión nueva). Fig. 3.1 a). Asistente de Conexión Nueva 32
Paso 2. Seleccione Conectarse a la red de mi lugar de trabajo. Fig. 3.1 b) Tipo de Conexión de Red Paso 3. Seleccione Conexión de red privada virtual Fig. 3.1 c) Conexión de Red Privada Virtual 33
Paso 4. Ingrese un nombre para identificar la conexión Fig. 3.1 d) Nombre de Conexión Paso 5. Seleccione No usar la conexión inicial Fig. 3.1 e) Red Pública 34
Paso 6. Ingrese el nombre del servidor VPN de la Universidad Fig. 3.1 f) Selección de Servidor VPN Paso 7. En estos momentos a terminado de configurar la conexión, puede habilitar la opción de agregar un enlace directo a esta conexión desde el escritorio. Fig. 3.1 g) Finalización del Asistente de Conexión Nueva 35
Paso 8. Al momento de iniciar la conexión con la VPN deberá ingresar un Usuario y una Clave, la cual se le será asignada en su momento Fig. 3.1 h) Acceso a Red Privada Para la creación de una VPN nosotros sugerimos el router VPN modelo RV042 de linksys el cual incluye las opciones de conexión y encriptación de 30 túneles virtuales los cuales pueden ser usados para la conexión de equipos individuales externos y oficinas remotas. Como lo habíamos comentado la conexión a Internet más común es a través de un Modem-Router, dentro del cual Prodigy R usa en la actualidad uno de marca 2wire alambico e inalámbrico, con opciones de filtrado por puertos y analiza los protocolos más comunes como FTP (Protocolo de Transmisión de Archivos), HTTP (Protocolo de Transferencia de Hypertexto), POP3 (Protocolo de Oficina de Correos), etc. Con lo que respecta a conexión LAN funciona como Servidor DHCP (Protocolo de Configuración de Anfitrión Dinámico) y es asignada la dirección 192.168.1.254 al Modem-Router como dirección fija. En la conexión WAN la IP está configurada como cliente DHCP, con lo que nos topamos con nuestro primer problema cuando se intenta ingresar un equipo servidor VPN posterior al Router. 36